Cualquier organización puede adoptar un enfoque de la ciberseguridad basado en el riesgo, y es fácil empezar. La ciberseguridad basada en riesgos se centra en optimizar los recursos de seguridad para las amenazas más acuciantes y en adaptarse a medida que éstas cambian. ¿Cómo se aplica y cuáles son sus ventajas?
¿Qué es la ciberseguridad basada en los riesgos?
El enfoque de la ciberseguridad basado en el riesgo optimiza los recursos de seguridad para centrarse en los mayores peligros de la organización. Cada empresa es diferente, y algunos sectores se enfrentan a amenazas que otros no. El enfoque de ciberseguridad basado en el riesgo ayuda a las empresas a ahorrar dinero y recursos concentrándose en los riesgos identificados en vez de hacerlo en todas las amenazas posibles.
Adoptar una estrategia de ciberseguridad basada en el riesgo conlleva algunas ventajas fundamentales. La implantación requiere una evaluación exhaustiva de los riesgos. Como resultado, las organizaciones conocen mejor sus amenazas específicas.
Los recursos de seguridad se dirigen sólo donde más se necesitan, por lo que las organizaciones también pueden reducir los costes de ciberseguridad. Esto es importante, ya que muchas empresas se enfrentan hoy en día a la escasez de personal de seguridad. Numerosos factores contribuyen a la escasez de personal cualificado en ciberseguridad, pero las empresas deben ser estratégicas en sus presupuestos de seguridad hasta que se recupere la contratación.
Desarrollo de una estrategia de ciberseguridad basada en los riesgos
Ampliar el conocimiento de una organización sobre las amenazas es fundamental para crear una estrategia de ciberseguridad exitosa basada en el riesgo. Depende en gran medida de comprender exactamente qué es lo que más podría dañar a una organización.
Por ejemplo, una pequeña empresa con cinco empleados bien preparados probablemente no tiene por qué preocuparse de las amenazas internas. Por el contrario, sería razonable que una multinacional con miles de trabajadores sí se preocupase por los hackers internos.
Paso 1: Evaluación de los riesgos
El primer paso para cualquier organización que elabore una estrategia de seguridad basada en el riesgo es identificar las amenazas. Para ello es necesario realizar evaluaciones del riesgo y del impacto en el negocio (BIA). La BIA destaca los procesos y herramientas fundamentales para el éxito de una empresa. Por ejemplo, una cadena de supermercados automatizados clasificaría sus sistemas de caja electrónica como muy importantes en su BIA.
El objetivo del BIA es revelar lo que podría salir mal si fallaran los sistemas clave de una organización, incluido el impacto legal, monetario y físico. La evaluación de riesgos complementa el BIA al determinar las formas más probables en que un hacker podría causar daños.
Los resultados de la evaluación de riesgos mostrarán a una organización sus vectores de amenaza de mayor riesgo, indicando qué es lo que más necesita proteger. Una evaluación exhaustiva es crucial, ya que puede resaltar riesgos «invisibles» que pueden no ser obvios inicialmente.
Por ejemplo, las empresas con empleados híbridos o remotos tienen riesgos de seguridad de los que carecen las organizaciones totalmente basadas en oficinas. En este caso, los trabajadores pueden ser un vector de amenazas. Los empleados remotos se enfrentan a millones de estafas por correo electrónico y es más probable que cometan errores al trabajar.
Paso 2: Protocolos de seguridad optimizados
Las empresas que hayan completado el BIA y la evaluación de riesgos están listas para elegir sus medidas de seguridad. El BIA y la evaluación de riesgos deben identificar los riesgos más importantes en los que enfocarse, lo que proporciona un punto de partida para seleccionar las mejores herramientas y políticas de seguridad.
En esta fase, las organizaciones disponen de la mayor flexibilidad para elaborar una estrategia de seguridad específica para sus necesidades. Puede ser útil hacer referencia a fuentes autorizadas, como el marco del NIST o los Controles Críticos de Seguridad del CIS, para ayudar a construir una estrategia personalizada. Los responsables de TI no tienen por qué utilizar todas las medidas descritas, pero pueden constituir un buen punto de partida.
Por ejemplo, una organización podría identificar el control de acceso y la gestión de identidades como de alto riesgo. Los responsables de TI de la empresa podrían utilizar la plantilla del CIS para las políticas de gestión de cuentas y credenciales con el fin de crear medidas de control de acceso más sólidas.
La máxima prioridad en esta fase es encontrar la forma más eficaz de defenderse de los riesgos de seguridad peligrosos. Las empresas deben concentrarse en establecer primero controles y defensas para las amenazas más importantes. Esto es especialmente importante para las empresas con un presupuesto de seguridad limitado. Un enfoque basado en el riesgo da prioridad a los peligros menos aceptables, física y financieramente.
Paso 3: Analizar, supervisar y ajustar
Las organizaciones deben supervisar el rendimiento de sus nuevas medidas de seguridad con la mayor constancia posible. La supervisión es crucial para el éxito de la seguridad basada en el riesgo. Si una determinada amenaza deja de ser preocupante con el tiempo, los recursos deben reasignarse a otros ámbitos.
Las pruebas frecuentes también son vitales para el éxito. Hay muchas formas de que una empresa compruebe sus medidas de seguridad, como las pruebas de penetración u otra evaluación de riesgos. Deben probarse varias veces a lo largo del año o cuando se introduzcan nuevas herramientas o dispositivos.
Del resultado de las pruebas y la supervisión se desprende una conclusión. Si las medidas de seguridad no están funcionando como se pretendía o no son tan necesarias como se preveía, es el momento de hacer ajustes. La seguridad basada en el riesgo consiste en ajustarse a las amenazas existentes, que pueden y van a cambiar con el tiempo.
Ciberseguridad basada en el riesgo para reforzar las defensas
La ciberseguridad basada en el riesgo es un proceso cíclico de identificación de los mayores peligros a los que se enfrenta una organización y de adaptación de las medidas de seguridad a esas necesidades. Adoptar un enfoque basado en el riesgo puede ayudar a las empresas a ahorrar dinero y recursos optimizando su seguridad para las amenazas de alta prioridad. Cualquier empresa puede aplicar estas medidas evaluando, estableciendo controles y realizando pruebas y ajustes continuos.
La validación continua automatizada, como el sistema RidgeBot de Ridge Security, es una gran herramienta para garantizar el éxito de la ciberseguridad basada en riesgos. Nuestra herramienta de ciberseguridad basada en IA aumenta la concienciación y la preparación mediante la validación autónoma de riesgos, la ejecución de pruebas de penetración, la optimización del rendimiento en función de las vulnerabilidades y mucho más.
Las herramientas adicionales son el complemento perfecto para una estrategia de seguridad basada en riesgos, ya que agilizan las fases de pruebas y evaluación de riesgos para mantener a salvo a las empresas y sus datos.
Acerca del autor
Zachary Amos es editor de ReHack, donde cubre temas de ciberseguridad, inteligencia artificial y otras tendencias tecnológicas. Para saber más sobre su trabajo, síguelo en Twitter o LinkedIn.